在Internet Explorer、Firefox和其他浏览器中,您可以通过在 CSSjavascript:中指定 URL来将 JavaScript 嵌入到 CSS 中。url()来将 JavaScript 嵌入到 CSS 中。
即使您设法过滤掉这些内容,攻击者仍然可以使用高级 CSS 完全重新设计页面(包括其所有文本内容)。因此,欺骗用户执行愚蠢的操作变得非常容易,这就是 XSS 的含义。例如,您可以将Delete Account按钮填满整个窗口并将其文本更改为“单击此处赢取 1000 美元”。
您可以将选定的几个属性列入白名单(text-*、font-*、color、background(仅颜色和渐变,没有 URL 或其他花哨的东西)),但您必须拒绝任何不符合这些限制的内容。